USB2文件流转型中间机
本模式最大优点是打通摆渡中间机、内部流转、内部存储备份等几个系统,提供了一套能够的满足政企内部的互通互联、文件交互、转发、审计多个需求完整方案。
由于模式一单纯采用 U 盘作为数据摆渡介质,安全性虽然较高,但是没有和内部公文流转结合,便捷性低。我司最新推出了一套集中间机数据摆渡和内部文件流转、存储结合的完整解决方案,该方案在具备模式一的中间机本身特点外,还具有以下特点:
u 增加一套基于内部安全私有云盘和分布式存储技术的文件流转系统。
u 中间机和流转服务器通过 VLan 划分和捍卫者终端准接入技术保证中间机只能与流转服务器做唯一性链接。
u 中间机完成病毒查杀、数据格式屏蔽(比较禁止可执行文件上传)、U 盘接入控制
(单双向)。
u 敏感数据自动放入存储隔离区(管理员审计后可以转出)。
u 可以实现文件导入导出审计、内部共享设置、流转过程审计。
方案中使用的产品和技术简介
(一) 主机加固技术(中间机):
中间机使用捍卫者独有加固技术如:进程白名单、网络接入外联、注册表监控、外设和文件监控、敏感信息检查、原生界面拦截等技术对中间机主机进行加固防护。
l 进程白名单:系统设定安全进程白名单,白名单以外进程无法再加固计算机内运行。可以有效防止病毒和木马进程侵入系统。
l 网络计入外联控制:通过网络过滤层技术和封包标签审计等捍卫者特色技术,实现中间机限定只能和文件流转服务器链接,中间机无法私接其他网络和终端。
l 主机中的注册表进行驱动级别的守护,禁止非法修改。
l 外接存储介质和文件拷贝进行日志记录和审计。
l 对交互文件进行全文检索,发现包含敏感文字的文件进行阻断和日志记录。
l 阻止系统原生界面,用户只能通过捍卫者提供的 UI 访问本系统,阻断非法操作。
l 插入维护用 Ukey,可以进入维护模式和原始 UI 进行系统维护。
(二) 捍卫者外设与移动存储介质管理技术:
捍卫者终端安全与访问控制--移动存储及外设安全管理系统为终端计算机使用移动存储设备提供了完整的安全解决方案。实现了对 U 盘、移动硬盘、SD 卡等移动存储设备的有效管理客户和控制。既保证了移动存储设备的安全使用,又避免了移动存储设备随意使用造成的信息外泄风险。
移动存储及外设安全管理系统提供计算机端口的安全管理、移动存储设备的授权使用、内部安全 U 盘使用。
计算机端口安全管理,主要对 USB 端口和其他非常用端口进行安全管理。对 USB 端口
设置:禁用、只读、开放三种模式,三种模式可以灵活使用,还可以对 USB 端口权限设置临时开放或只读,一定时间后自动禁用。其他非常用外设端口(如:光驱、本地连接、无线网卡、手机同步、蓝牙等)设置:禁用、开放模式。
移动存储设备授权使用,在终端计算机端口禁用/只读管控状态下,移动存储及外设安全管理系统对指定的移动存储设备授权,授权后的移动存储设备得到权限,可以在认证的计算机上使用,未经过授权认证的移动存储设备则是不可以使用的。
内部安全 U 盘使用,此为我公司研发的专属 U 盘,通过特殊加密技术,实现专属 U 盘可以在内部安全使用,在外部专属 U 盘不可以使用的效果。
(三) 终端网络认证与接入外联控制技术
捍卫者准入控制系统,是解决企业内部终端计算机非法访问外网或外部终端,外部终端非法访问内部网络或内部计算机终端的最完善的解决方案。采用底层安全控制技术,有效的隔离内部终端计算机访问非法网络和非法终端,屏蔽外部终端或外部网络。同时还阻止内部终端通过私改 MAC 和 IP 非法访问外部终端或网络。
捍卫者准入控制系统的主要功能:
l 通过终端准入机制,建立可信网络,为企业建立可信的网络环境;
l 可信网络内部终端通过认证,可以相互正常通信;非认证终端不可访问可信终端;
l 建立网络访问控制机制,可信终端未经允许,不可访问非认证网络或终端;
l 捍卫者准入控制系统低成本实现内外网软件隔离和内网准入信息安全防护,防止外部终端因为非法接入、内部终端非法外联导致泄密。
(四) 登录管理控制
通过特殊电子钥匙 USB KEY(简称 Ukey)实现对终端计算机的系统访问控制。在没有插入电子钥匙 Ukey 的终端计算机上不能登陆操作系统,插入电子钥匙 Ukey 状态下终端计算机正常操作,拔出后锁定计算机系统。可实现 1 对 1 或 1 对多绑定。
在本方案中主要用于维护模式的识别,控制。
(五) 进程白名单控制技术
通过驱动技术实现对系统进程的识别和阻断放过。与杀软配合更好的实现终端的安全防护。
(六) 捍卫者文件存储与流转控制系统
1) 文件的逻辑区分储存:
将工作中所遇到的文件按其性质进行划分,在我们日常办公所使用的文件一般可以区分为以下几个类别:
个人文件:根据个人喜好所书写,下载,收集到的一些文件,例如:个人照片,音乐,小说,电影,工作计划,学习计划,自我成长类文件。
项目(团队)文件:日常工作参与的项目文件,这类文件对项目很重要,需要经常与项目成员进行沟通协作,一般为工作类文件,文件类型根据工作性质而定;
部门文件:部门文件为部门成立后积累下来的文件,为部门知识文化传承的必要手段,文件类型丰富。会根据部门大小,人员,地域等形式设置不同的访问权限。
单位(共享)文件:一般可分类公开类型文件,或者必要的软件安装源文件,设计。
Logo 源文件等等可以被大家共有的文件,为了避免重复,统一使用文件。
2) 分布式文件系统,实现跨地域容灾
分布式文件系统提供了:分布式文件存储、文件同步、文件访问(文件上传、文件下载)这几个基本功能,解决了大容量存储和负载均衡的问题。文件系统主要有两个角色:跟踪器(tracker)和存储节点(storage)。跟踪器主要做调度工作,在访问上起负载均衡的作用。
存储节点存储文件,完成文件管理的所有功能:存储、同步和提供存取接口。
3) 对外高级安全控制
文件水印:通过对外链的文件生成水印,防止外网用户分发截图等方式传播;
访问白名单:通过 IP 等手段防止,限制使用设备(手机电脑等),来拒绝非意向用户访问;
4) 多人编辑与版本管理: 正常文件是无法进行多人编辑的,通过企业网盘,可以进行多人编辑。有些网盘会产生大量冲突版,以保证文件的安全性。捍卫者使用文件编辑锁定机制,使文件打开被锁定,其他人无法编辑此文件。保证版本的连续性和文件的安全性。
1) 文件预览全格式支持
办公文件 | Office 文件、 pdf、 txt、viso |
图片支持 | jpg,gif,bmp,png |
设计文稿支持 | 建筑工业设计行业:CAD(DWG,DXF) 平面设计:PSD,AI,CDR,wmf 等矢量软件 印刷设计:PS,EPS
|
影音支持 | MP4,mp3,mkv(不转码) (avi,rm,rmvb,wmv,flv)转码 |
全文搜索支持 | Office 文件、txt、pdf |
2) 日志与报表审计可以记录查询人员文件下载、上传等信息记录
自动根据人员动态,文件动态,系统运行状态这些指标提供,周报,月报,排行榜等功能,让管理员随时知道系统的状况。
3) 敏感字审计
发现敏感信息告警、隔离。